Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'aggiornamento compatibile con cluster usa plug-in per coordinare l'installazione degli aggiornamenti tra i nodi in un cluster di failover. Questo argomento fornisce informazioni sull'uso dei plug-in CAU integrati o di altri plug-in che si installano per CAU.
Installare un plug-in
Qualsiasi plug-in diverso dai plug-in predefiniti che sono installati con CAU (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) deve essere installato separatamente. Se CAU è utilizzato in modalità di aggiornamento automatico, è necessario installare il plug-in su tutti i nodi del cluster. Se CAU viene utilizzato in modalità di aggiornamento remoto, è necessario installare il plug-in sul computer del Coordinatore Aggiornamento Remoto. Un plug-in installato dall'utente può avere requisiti di installazione aggiuntivi per ogni nodo.
Per installare un plug-in, seguire le istruzioni fornite dall'autore del plug-in stesso. Per registrare manualmente un plug-in in Aggiornamento compatibile con cluster (CAU), eseguire il cmdlet Register-CauPlugin in ogni computer in cui è installato il plug-in.
Specificare un plug-in e i relativi argomenti
Specificare un plug-in CAU
Nell'interfaccia utente di CAU, si seleziona un plug-in da un elenco a discesa di plug-in disponibili quando si utilizza CAU per eseguire le seguenti azioni:
Applicare aggiornamenti al cluster
Vedere un'anteprima degli aggiornamenti per il cluster
Configurare le opzioni di aggiornamento automatico del cluster
Per impostazione predefinita, CAU seleziona il plug-in Microsoft.WindowsUpdatePlugin. È tuttavia possibile specificare qualsiasi plug-in installato e registrato presso CAU (Aggiornamento compatibile con cluster).
Suggerimento
Nell'interfaccia utente di CAU, è possibile specificare un solo plug-in che CAU può utilizzare per visualizzare un'anteprima o applicare aggiornamenti durante un'esecuzione di aggiornamento. Utilizzando i cmdlet di PowerShell del CAU, è possibile specificare uno o più plug-in. Se è necessario installare più tipi di aggiornamenti nel cluster, di solito è più efficiente specificare più plug-in in un'unica esecuzione dell'aggiornamento, anziché utilizzare un'esecuzione dell'aggiornamento separata per ciascun plug-in. Si verificheranno ad esempio meno riavvii di nodo.
Usando i cmdlet di PowerShell CAU elencati nella tabella seguente, è possibile specificare uno o più plugin per un'operazione di aggiornamento o un'analisi passando il parametro –CauPluginName. È possibile specificare più nomi di plug-in separati da virgole. Se si specificano più plug-in, è anche possibile controllarne l'influenza reciproca durante un'operazione di aggiornamento specificando i parametri -RunPluginsSerially, -StopOnPluginFailuree –SeparateReboots . Per altre informazioni sull'uso di più plug-in, usare i collegamenti alla documentazione dei cmdlet forniti nella tabella seguente.
| Cmdlet (un piccolo script o comando in PowerShell) | Descrizione |
|---|---|
| Add-CauClusterRole | Aggiunge il ruolo cluster UAC, che offre la funzionalità di aggiornamento automatico al cluster specificato. |
| Invoke-CauRun | Esegue un'analisi dei nodi del cluster per verificare l'applicabilità di aggiornamenti e li installa tramite un'operazione di aggiornamento sul cluster specificato. |
| Invoca-CauScan | Esegue un'analisi dei nodi del cluster per verificare l'applicabilità di aggiornamenti e restituisce un elenco del set di aggiornamenti iniziale che verrebbe applicato a ogni nodo nel cluster specificato. |
| Set-CauClusterRole | Imposta le proprietà di configurazione per il ruolo cluster CAU sul cluster specificato. |
Se non si specifica un parametro del plug-in CAU utilizzando questi cmdlet, la scelta predefinita è il plug-in Microsoft.WindowsUpdatePlugin.
Specificare gli argomenti del plug-in CAU
Quando si configurano le opzioni dell'operazione di aggiornamento, è possibile specificare una o più coppie nome=valore (argomenti) per l'uso da parte del plug-in selezionato. Nell'interfaccia utente di CAU (Cluster-Aware Updating), ad esempio, è possibile specificare più argomenti come segue:
Name1=Value1;Name2=Value2;Name3=Value3.
Queste coppie nome=valore devono essere significative per il plug-in specificato. Per alcuni plug-in gli argomenti sono facoltativi.
La sintassi degli argomenti del plug-in CAU rispetta le regole generiche riportate di seguito:
Più coppie nome=valore sono separate da punti e virgola.
I valori che contengono spazi vengono racchiusi tra virgolette, ad esempio: Name1="Value with Spaces".
La sintassi esatta di valore dipende dal plug-in.
Per specificare gli argomenti plug-in usando i cmdlet di PowerShell di Aggiornamento compatibile con cluster che supportano il parametro –CauPluginParameters, passare un parametro nella forma di:
-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}.
È anche possibile usare una tabella hash di PowerShell predefinita. Per specificare argomenti per più di un plug-in, passare più tabelle hash di argomenti, usando virgole come separatori. Passare gli argomenti del plug-in nell'ordine del plug-in specificato in CauPluginName.
Specificare gli argomenti facoltativi del plug-in
I plug-in che CAU installa (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) forniscono opzioni aggiuntive che è possibile selezionare. Nell'interfaccia utente CAU, queste appaiono su una pagina Opzioni aggiuntive dopo aver configurato le opzioni relative alle operazioni di aggiornamento per il plug-in. Se si stanno usando i cmdlet di CAU PowerShell, queste opzioni vengono configurate come argomenti facoltativi del plug-in. Per altre informazioni, vedere Usare Microsoft.WindowsUpdatePlugin e Usare Microsoft.HotfixPlugin , più avanti in questo argomento.
Gestire i plug-in usando i cmdlet di Windows PowerShell
| Cmdlet (un piccolo script o comando in PowerShell) | Descrizione |
|---|---|
| Get-CauPlugin | Recupera informazioni su uno o su più plug-in di aggiornamento software registrati nel computer locale. |
| Registrazione-CauPlugin | Registra un plug-in CAU per l'aggiornamento del software sul computer locale. |
| Annullare la registrazione di CauPlugin | Rimuove un plug-in di aggiornamento software dall'elenco di plug-in che possono essere usati da CAU. Nota: la registrazione dei plug-in installati con CAU(Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) non può essere annullata. |
Uso di Microsoft.WindowsUpdatePlugin
Il plug-in predefinito per CAU, Microsoft.WindowsUpdatePlugin, esegue le azioni seguenti:
- Comunica con l'agente di Windows Update su ciascun nodo del cluster di failover per applicare gli aggiornamenti necessari per i prodotti Microsoft in esecuzione su ciascun nodo.
- Installa gli aggiornamenti del cluster direttamente da Windows Update o Microsoft Update o da un server Windows Server Update Services (WSUS) locale.
- Installa solo gli aggiornamenti della versione di distribuzione generale (GDR) selezionati. Per impostazione predefinita, il plug-in applica solo aggiornamenti software importanti. Non è richiesta alcuna configurazione. La configurazione predefinita consente di scaricare e installare gli aggiornamenti GDR importanti su ciascun nodo.
Nota
Per applicare aggiornamenti diversi dagli aggiornamenti software importanti selezionati per impostazione predefinita ,ad esempio gli aggiornamenti del driver, è possibile configurare un parametro plug-in facoltativo. Per altre informazioni, vedere Configurare la stringa di query per l'agente di Windows Update.
Requisiti
- Il cluster di failover e il computer Coordinatore di aggiornamenti remoti (se utilizzati) devono soddisfare i requisiti per CAU e la configurazione necessaria per la gestione remota elencati in Requisiti e procedure consigliate per CAU.
- Esaminare Consigli per l'applicazione degli aggiornamenti Microsoft, quindi apportare le modifiche necessarie alla configurazione di Microsoft Update per i nodi del cluster di failover.
- Per ottenere risultati ottimali, è consigliabile eseguire il "CAU Best Practices Analyzer" (BPA) per assicurarsi che il cluster e l'ambiente di aggiornamento siano configurati correttamente per applicare gli aggiornamenti tramite CAU. Per ulteriori informazioni, consultare Preparazione all'aggiornamento CAU di test.
Nota
Gli aggiornamenti che richiedono l'accettazione delle condizioni di licenza Microsoft o l'interazione dell'utente sono esclusi e devono essere installati manualmente.
Opzioni aggiuntive
Facoltativamente, è possibile specificare uno degli argomenti seguenti per espandere o limitare il set di aggiornamenti applicati dal plug-in:
- Per configurare il plug-in per applicare gli aggiornamenti consigliati oltre agli aggiornamenti importanti in ogni nodo, nell'interfaccia utente di CAU, nella pagina Opzioni aggiuntive, selezionare la casella di controllo Assegna aggiornamenti consigliati allo stesso modo in cui si ricevono aggiornamenti importanti.
In alternativa, configurare l'argomento del plug-in 'IncludeRecommendedUpdates'='True'. - Per configurare il plug-in per filtrare i tipi di aggiornamenti GDR applicati a ogni nodo del cluster, specificare una stringa di query dell'agente di Windows Update usando un argomento plug-in QueryString. Per altre informazioni, vedere Configurare la stringa di query per l'agente di Windows Update.
Configurare la stringa di query dell'agente Windows Update
È possibile specificare un argomento per il plug-in predefinito, Microsoft.WindowsUpdatePlugin, che consiste in una stringa di query per l'agente di Windows Update (WUA). Questa istruzione usa l'API agente di Windows Update (WUA) per identificare uno o più gruppi di aggiornamenti Microsoft da applicare a ogni nodo, sulla base di specifici criteri di selezione. È possibile combinare più criteri usando operatori AND od OR logici. La stringa di query WUA è specificata in un argomento del plug-in come segue:
QueryString="Criterion1=Value1 e/o Criterion2=Value2 e/o…"
Microsoft.WindowsUpdatePlugin , ad esempio, seleziona automaticamente gli aggiornamenti importanti usando un argomento QueryString predefinito costruito usando i criteri IsInstalled, Type, IsHiddene IsAssigned :
QueryString="IsInstalled=0 e Type='Software' e IsHidden=0 e IsAssigned=1"
Se si specifica un argomento QueryString , questo verrà usato al posto dell'argomento QueryString predefinito e configurato per il plug-in.
Esempio 1
Per configurare un argomento QueryString che installa un aggiornamento specifico identificato con l'ID f6ce46c1-971c-43f9-a2aa-783df125f003:
QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' e IsInstalled=0"
Nota
L'esempio precedente è valido per applicare aggiornamenti usando l'aggiornamento guidato compatibile con cluster. Se si desidera installare un aggiornamento specifico configurando opzioni di aggiornamento automatico con l'interfaccia utente di CAU o usando i cmdlet Add-CauClusterRole o Set-CauClusterRole, è necessario formattare il valore UpdateID con due caratteri con virgoletta singola:
QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' e IsInstalled=0"
Esempio 2
Per configurare un argomento QueryString che installa solo driver:
QueryString="IsInstalled=0 e Type='Driver' e IsHidden=0"
Per maggiori informazioni sulle stringhe di query per il plug-in predefinito, Microsoft.WindowsUpdatePlugin, i criteri di ricerca (come IsInstalled) e la sintassi che è possibile includere nelle stringhe di query, vedere la sezione sui criteri di ricerca in Materiale di riferimento API Windows Update Agent (WUA).
Usare Microsoft.HotfixPlugin
Il plug-in Microsoft.HotfixPlugin può essere usato per applicare aggiornamenti Microsoft a distribuzione ridotta (chiamati anche aggiornamenti rapidi e in precedenza noti come QFE) che vanno scaricati indipendentemente per risolvere problemi specifici del software Microsoft. Il plug-in installa gli aggiornamenti da una cartella principale su una condivisione file SMB e può anche essere personalizzato per applicare aggiornamenti di driver, firmware e BIOS non Microsoft.
Nota
Gli hotfix sono talvolta disponibili per il download da Microsoft negli articoli della Knowledge Base, ma vengono forniti anche ai clienti in base alle esigenze.
Requisiti
Il cluster di failover e il computer Coordinatore di aggiornamenti remoti (se utilizzati) devono soddisfare i requisiti per CAU e la configurazione necessaria per la gestione remota elencati in Requisiti e procedure consigliate per CAU.
Consultare le Raccomandazioni sull'uso di Microsoft.HotfixPlugin.
Per ottenere risultati ottimali, è consigliabile eseguire il modello CAU Best Practices Analyzer (BPA) per garantire che il cluster e l'ambiente di aggiornamento siano configurati correttamente per applicare gli aggiornamenti tramite CAU. Per ulteriori informazioni, consultare Preparazione all'aggiornamento CAU di test.
Ottenere gli aggiornamenti dall'editore e copiarli o estrarli in una condivisione file SMB (Server Message Block) (cartella radice degli hotfix) che supporta almeno SMB 2.0 e che sia accessibile da tutti i nodi del cluster e dal computer remoto Update Coordinator (se CAU è utilizzato in modalità di aggiornamento remoto). Per ulteriori informazioni, vedere Configurare una struttura di cartella radice degli aggiornamenti rapidi più avanti in questo argomento.
Nota
Per impostazione predefinita, questo plug-in installa solo gli hotfix con le estensioni di file seguenti: msu, .msi e msp.
Copiare il file DefaultHotfixConfig.xml (che si trova nella cartella %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating su un computer in cui sono installati gli strumenti Cluster-Aware Updating) nella cartella radice dell'hotfix che hai creato e in cui hai estratto gli hotfix. Ad esempio, copiare il file di configurazione in \\MyFileServer\Hotfixes\Root\.
Nota
Per installare la maggior parte degli aggiornamenti rapidi forniti da Microsoft e altri aggiornamenti, è possibile usare il file di configurazione per gli aggiornamenti rapidi predefinito senza modifiche. Se richiesto per lo scenario in uso, è possibile personalizzare il file di configurazione come attività avanzata. Il file di configurazione può includere, ad esempio, ruoli personalizzati per la gestione di file di aggiornamento rapido con estensioni specifiche oppure per definire i comportamenti per determinate condizioni di uscita. Per altre informazioni, vedere Personalizzare il file di configurazione degli aggiornamenti rapidi , più avanti in questo argomento.
Impostazione
Configurare le opzioni descritte di seguito. Per altre informazioni, vedere i collegamenti alle sezioni più avanti in questo argomento.
Il percorso alla cartella radice degli aggiornamenti rapidi condivisa contenente gli aggiornamenti da applicare nonché il file di configurazione degli aggiornamenti rapidi. È possibile digitare questo percorso nell'interfaccia utente di Cluster-Aware Updating (CAU) o configurare l'argomento plug-in PowerShell HotfixRootFolderPath=<Path>.
Nota
È possibile specificare la cartella radice dell'hotfix come percorso di cartella locale o come percorso UNC nel formato \\NomeServer\Share\RootFolderName. È possibile usare un percorso di spazio dei nomi DFS basato su dominio o autonomo. Le funzionalità del plug-in che controllano le autorizzazioni di accesso nel file di configurazione degli hotfix non sono compatibili con un percorso di spazio dei nomi DFS. Pertanto, se ne configuri uno, è necessario disabilitare il controllo delle autorizzazioni di accesso utilizzando l'interfaccia utente di CAU oppure configurando l'argomento del plug-in DisableAclChecks='True'.
Impostazioni nel server che ospita la cartella radice dell'hotfix per verificare le autorizzazioni appropriate per accedere alla cartella e garantire l'integrità dei dati a cui si accede dalla cartella condivisa SMB (firma SMB o crittografia SMB). Per altre informazioni, vedere Limitare l'accesso alla cartella radice degli aggiornamenti rapidi.
Opzioni aggiuntive
- Opzionalmente, configurare il plug-in in modo che la crittografia SMB venga imposta quando si accede ai dati dalla condivisione file del hotfix. Nell'interfaccia utente di CAU, nella pagina Opzioni aggiuntive, selezionare l'opzione Richiedi crittografia SMB per l'accesso alla cartella radice della hotfix oppure configurare l'argomento plug-in di PowerShell RequireSMBEncryption='True'.
Importante
È necessario eseguire passaggi di configurazione aggiuntivi nel server SMB per abilitare l'integrità dei dati SMB con firma o crittografia SMB. Per altre informazioni, vedere il passaggio 4 in Limitare l'accesso alla cartella radice degli aggiornamenti rapidi. Se si seleziona l'opzione per imporre l'uso della crittografia SMB e la cartella radice degli aggiornamenti rapidi non è configurata per l'accesso mediante la crittografia SMB, l'operazione di aggiornamento non riuscirà.
- Facoltativamente, disabilitare i controlli predefiniti sulla presenza delle autorizzazioni necessarie per la cartella radice del hotfix e per il file di configurazione del hotfix. Nell'interfaccia utente di CAU, selezionare Disabilita controllo accesso amministratore alla cartella radice degli aggiornamenti rapidi e al file di configurazione, oppure configurare l'argomento DisableAclChecks='True' del plug-in.
- Facoltativamente, configurare l'argomento HotfixInstallerTimeoutMinutes=<Integer> per specificare per quanto tempo il plug-in hotfix attende che venga restituito il processo di installazione hotfix. Il valore predefinito è 30 minuti. Ad esempio, per specificare un periodo di timeout di due ore, impostare HotfixInstallerTimeoutMinutes=120.
- Facoltativamente, configurare l'argomento plug-in HotfixConfigFileName = <name> per specificare un nome per il file di configurazione dell'hotfix che si trova nella cartella radice dell'hotfix. Se non ne viene specificato uno, verrà usato il nome predefinito DefaultHotfixConfig.xml.
Configurare una struttura della cartella radice per aggiornamenti rapidi
Per un corretto funzionamento del plug-in relativo agli aggiornamenti rapidi, questi ultimi devono essere archiviati in una struttura ben definita all'interno di una condivisione file SMB (cartella radice degli aggiornamenti rapidi) ed è inoltre necessario configurare il plug-in degli aggiornamenti rapidi con il percorso alla cartella radice degli aggiornamenti rapidi tramite l'interfaccia utente CAU o i cmdlet di PowerShell CAU. Questo percorso viene passato al plug-in come argomento HotfixRootFolderPath. In base alle esigenze di aggiornamento, è possibile scegliere tra diverse strutture per la cartella radice degli aggiornamenti rapidi, come illustrato negli esempi seguenti. File o cartelle non conformi a questa struttura verranno ignorati.
Esempio 1 - Struttura di cartelle usata per applicare aggiornamenti rapidi a tutti i nodi del cluster
Per specificare che gli aggiornamenti rapidi si applicano a tutti i nodi del cluster, copiarli in una cartella denominata CAUHotfix_All sotto la cartella radice dell'aggiornamento rapido. In questo esempio, l'argomento plug-in HotfixRootFolderPath è impostato su \\MyFileServer\Hotfixes\Root\. La cartella CAUHotfix_All contiene tre aggiornamenti con le estensioni msu, .msi e .msp che verranno applicati a tutti i nodi del cluster. I nomi file degli aggiornamenti qui riportati hanno solo scopo illustrativo.
Nota
In questo esempio e in quelli seguenti il file di configurazione degli aggiornamenti rapidi con il nome predefinito DefaultHotfixConfig.xml è visualizzato nella posizione richiesta nella cartella radice degli aggiornamenti rapidi.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
Esempio 2 - Struttura di cartelle usata per applicare determinati aggiornamenti solo a un nodo specifico
Per specificare aggiornamenti rapidi applicabili solo a un nodo specifico, usare una sottocartella della cartella radice degli aggiornamenti rapidi con il nome del nodo. Usare il nome NetBIOS del nodo del cluster, ad esempio ContosoNode1. Spostare quindi gli aggiornamenti applicabili solo al nodo in questione nella sottocartella. Nel seguente esempio, l'argomento plug-in HotfixRootFolderPath è impostato su \\MyFileServer\Hotfixes\Root\. Gli aggiornamenti nella cartella CAUHotfix_All verranno applicati a tutti i nodi del cluster, mentre Node1_Specific_Update.msu verrà applicato solo a ContosoNode1.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
Node1_Specific_Update.msu
...
Esempio 3 - Strutture di cartelle usate per applicare file di aggiornamento diversi da .msu, .msi e .msp
Per impostazione predefinita, Microsoft.HotfixPlugin applica unicamente aggiornamenti con le estensioni .msu, .msi o .msp. Alcuni aggiornamenti potrebbero tuttavia avere estensioni diverse e potrebbero richiedere comandi di installazione diversi. Ad esempio, potrebbe essere necessario applicare un aggiornamento firmware con estensione .exe a un nodo in un cluster. È possibile configurare la cartella radice degli aggiornamenti rapidi con una cartella che indica che deve essere installato un tipo specifico di aggiornamento non predefinito. È inoltre necessario configurare una regola di installazione della cartella corrispondente che specifica il comando di installazione nell'elemento <FolderRules> nel file XML di configurazione degli aggiornamenti rapidi.
Nel seguente esempio, l'argomento plug-in HotfixRootFolderPath è impostato su \\MyFileServer\Hotfixes\Root\. Molti aggiornamenti verranno applicati a tutti i nodi del cluster, mentre l'aggiornamento firmware SpecialHotfix1.exe verrà applicato a ContosoNode1 usando FolderRule1. Per informazioni sulla configurazione di FolderRule1 nel file di configurazione degli aggiornamenti rapidi, vedere Personalizzare il file di configurazione degli aggiornamenti rapidi più avanti in questo argomento.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
FolderRule1\
SpecialHotfix1.exe
...
Personalizzare il file di configurazione degli aggiornamenti rapidi
Il file di configurazione degli aggiornamenti rapidi controlla il modo in cui Microsoft.HotfixPlugin installa tipi di file degli aggiornamenti rapidi specifici in un cluster di failover. Lo schema XML per il file di configurazione è definito in HotfixConfigSchema.xsd, che si trova nella cartella seguente in un computer in cui sono installati gli strumenti di Cluster-Aware Updating (CAU):
Cartella %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating
Per personalizzare il file di configurazione degli aggiornamenti rapidi, copiare il file di configurazione di esempio DefaultHotfixConfig.xml da questo percorso alla cartella radice degli aggiornamenti rapidi e apportare le modifiche appropriate per il proprio scenario.
Importante
Per applicare la maggior parte degli aggiornamenti rapidi forniti da Microsoft e altri aggiornamenti, è possibile usare il file di configurazione per gli aggiornamenti rapidi predefinito senza modifiche. La personalizzazione del file di configurazione degli aggiornamenti rapidi è un'attività destinata solo a scenari di utilizzo avanzato.
Per impostazione predefinita, il file XML di configurazione degli aggiornamenti rapidi definisce regole di installazione e condizioni di uscita per le due categorie di aggiornamenti rapidi seguenti:
File di aggiornamento rapido con estensioni che il plug-in è in grado di installare per impostazione predefinita (file .msu, .msi e .msp).
Questi vengono definiti elementi
<ExtensionRules>nell'elemento<DefaultRules>. È presente un elemento<Extension>per ognuno dei tipi di file predefiniti supportati. La struttura generale XML è la seguente:<DefaultRules> <ExtensionRules> <Extension name="MSI"> <!-- Template and ExitConditions elements for installation of .msi files follow --> ... </Extension> <Extension name="MSU"> <!-- Template and ExitConditions elements for installation of .msu files follow --> ... </Extension> <Extension name="MSP"> <!-- Template and ExitConditions elements for installation of .msp files follow --> ... </Extension> ... </ExtensionRules> </DefaultRules>Se è necessario applicare determinati tipi di aggiornamenti a tutti i nodi del cluster nell'ambiente, è possibile definire elementi
<Extension>aggiuntivi.Aggiornamenti rapidi o altri tipi di file di aggiornamento che non hanno formati .msi, .msu o .msp, ad esempio driver non Microsoft, firmware e aggiornamenti del BIOS.
Ogni tipo di file non predefinito viene configurato come elemento
<Folder>nell'elemento<FolderRules>. L'attributo nome dell'elemento<Folder>deve essere identico al nome di una cartella all'interno della cartella principale degli aggiornamenti rapidi che conterrà gli aggiornamenti del tipo corrispondente. La cartella può trovarsi nella cartella CAUHotfix_All o in una cartella specifica del nodo. Se FolderRule1, ad esempio, è configurato nella cartella radice dell'hotfix, configurare l'elemento seguente nel file XML per definire un modello di installazione e delle condizioni di uscita per gli aggiornamenti in quella cartella:<FolderRules> <Folder name="FolderRule1"> <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow --> ... </Folder> ... </FolderRules>
Nelle tabelle seguenti sono descritti gli attributi <Template> e i possibili sottoelementi <ExitConditions> .
Attributo <Template> |
Descrizione |
|---|---|
path |
Percorso completo del programma di installazione per il tipo di file definito nell'attributo <Extension name> .Per specificare il percorso a un file di update nella struttura radice degli hotfix, usare |
parameters |
Stringa di parametri obbligatori o facoltativi per il programma specificato in path.Per specificare un parametro che rappresenta il percorso di un file di aggiornamento nella struttura della cartella principale della hotfix, usare |
Sottoelemento <ExitConditions> |
Descrizione |
|---|---|
<Success> |
Definisce uno o più codici di uscita che indicano che l'aggiornamento specificato è riuscito. Si tratta di un sottoelemento obbligatorio. |
<Success_RebootRequired> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato è riuscito e che il nodo deve essere riavviato. Nota: facoltativamente, l'elemento <Folder> può contenere l'attributo alwaysReboot . Se l'attributo è impostato, indica che se un aggiornamento rapido installato da questa regola restituisce uno dei codici di uscita definiti in <Success>, ciò verrà interpretato come condizione di uscita <Success_RebootRequired>. |
<Fail_RebootRequired> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato non è riuscito e che il nodo deve essere riavviato. |
<AlreadyInstalled> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato non è stato applicato perché già installato. |
<NotApplicable> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato non è stato applicato perché non applicabile al nodo del cluster. |
Importante
Qualsiasi codice di uscita non esplicitamente definito in <ExitConditions> viene interpretato come aggiornamento non riuscito e il nodo non viene riavviato.
Limitare l'accesso alla cartella radice degli aggiornamenti rapidi
Per configurare il file server e la condivisione file SMB per proteggere i file nella cartella radice degli aggiornamenti rapidi e il file di configurazione degli aggiornamenti rapidi per accesso esclusivamente nel contesto di Microsoft.HotfixPlugin, è necessario eseguire diversi passaggi. Tali passaggi consentono di abilitare varie funzionalità che aiutano a prevenire possibili manomissioni dei file di aggiornamento rapido che potrebbero compromettere il cluster di failover.
In generale, i passaggi sono i seguenti:
Identificare l'account utente usato per le operazioni di aggiornamento tramite il plug-in
Configurare questo account utente nei gruppi richiesti su un file server SMB
Configurare le autorizzazioni per accedere alla cartella radice degli aggiornamenti rapidi
Configurare le impostazioni per l'integrità dei dati SMB
Abilitare una regola di Windows Firewall nel server SMB
Passaggio 1: Identificare l'account utente utilizzato per le operazioni di aggiornamento tramite il plug-in di hotfix
L'account usato in Cluster-Aware Updating (CAU) per la verifica delle impostazioni di sicurezza durante l'esecuzione di un'operazione di aggiornamento utilizzando Microsoft.HotfixPlugin dipende dalla modalità d'uso di CAU: aggiornamento remoto o auto-aggiornamento, come segue:
Modalità di aggiornamento remoto L'account con privilegi amministrativi nel cluster su cui eseguire un'anteprima degli aggiornamenti e quindi applicarli.
Modalità di auto-aggiornamento Il nome dell'oggetto computer virtuale configurato in Active Directory per il ruolo del cluster CAU. Si tratta del nome di un oggetto computer virtuale preconfigurato in Active Directory per il ruolo del cluster di Aggiornamenti compatibili con il cluster (CAU) o del nome generato da CAU per il ruolo del cluster. Per ottenere il nome se generato da Aggiornamento cluster-aware (CAU), eseguire il cmdlet PowerShell Get-CauClusterRole. Nell'output ResourceGroupName è il nome dell'account dell'oggetto computer virtuale generato.
Passaggio 2: Configurare questo account utente nei gruppi necessari su un file server SMB
Importante
È necessario aggiungere l'account usato per le operazioni di aggiornamento come account Administrator locale nel server SMB. Se ciò non viene consentito a causa dei criteri di sicurezza dell'organizzazione, configurare questo account con le autorizzazioni necessarie sul server SMB usando la procedura riportata di seguito.
Per configurare un account utente sul server SMB
Aggiungere l'account usato per le operazioni di aggiornamento al gruppo Distributed COM Users e a uno dei gruppi seguenti: Power User, Server Operation o Print Operator.
Per abilitare le autorizzazioni WMI necessarie per l'account, avviare la console di gestione WMI nel server SMB. Aprire Azure PowerShell e digitare il seguente comando:
wmimgmt.mscNell'albero della console fare clic con il pulsante destro del mouse su Controllo WMI (computer locale), quindi scegliere Proprietà.
Fare clic su Sicurezza, quindi espandere Root.
Fare clic su CIMV2, quindi su Sicurezza.
Aggiungere l'account usato per le operazioni di aggiornamento all'elenco Utenti e gruppi .
Concedere le autorizzazioni Esegui metodi e Abilita remoto all'account usato per le operazioni di aggiornamento.
Passaggio 3: Configurare le autorizzazioni per accedere alla cartella radice degli aggiornamenti rapidi
Per impostazione predefinita, quando si tenta di applicare degli aggiornamenti, il plug-in per gli aggiornamenti rapidi verifica la configurazione delle autorizzazioni nel file system NTFS per l'accesso alla cartella radice degli aggiornamenti rapidi. Se le autorizzazioni per l'accesso alla cartella non sono configurate correttamente, un'operazione di aggiornamento usando il plug-in per gli aggiornamenti rapidi potrebbe non riuscire.
Se si usa la configurazione predefinita del plug-in per gli aggiornamenti rapidi, assicurarsi che le autorizzazioni di accesso alla cartella soddisfino i requisiti seguenti.
Il gruppo Users ha le autorizzazioni di lettura.
Se il plug-in applicherà gli aggiornamenti con estensione .exe, il gruppo Users deve disporre delle autorizzazioni di esecuzione.
Le autorizzazioni di scrittura e di modifica sono permesse (ma non necessarie) solo per determinate entità di sicurezza. I soggetti ammessi sono il gruppo locale degli amministratori, SYSTEM, CREATOR OWNER e TrustedInstaller. Nessun altro account o gruppo può disporre di autorizzazioni di scrittura o modifica per la cartella radice degli aggiornamenti rapidi.
È facoltativamente possibile disabilitare i controlli preventivi eseguiti dal plug-in per impostazione predefinita. È possibile effettuare questa operazione in uno dei due modi seguenti:
Se si usano i cmdlet di PowerShell di CAU, configurare l'argomento DisableAclChecks='True' nel parametro CauPluginArguments per il plug-in per l'hotfix.
Se si sta usando l'interfaccia utente di CAU, selezionare l'opzione Disabilita il controllo dell'accesso da parte dell'amministratore alla cartella radice delle correzioni rapide e al file di configurazione nella pagina Opzioni di aggiornamento aggiuntive della procedura guidata per configurare le opzioni di esecuzione dell'aggiornamento.
Come procedura consigliata per molti ambienti si raccomanda tuttavia l'impiego della configurazione predefinita che prevede l'imposizione di tali controlli.
Passaggio 4: Configurare le impostazioni per l'integrità dei dati SMB
Per controllare l'integrità dei dati nelle connessioni tra i nodi del cluster e la condivisione file SMB, il plug-in per gli aggiornamenti rapidi richiede l'abilitazione delle impostazioni nella condivisione file SMB per la firma o la crittografia SMB. La crittografia SMB, che fornisce sicurezza avanzata e prestazioni migliorate in molti ambienti, è supportata a partire da Windows Server 2012. È possibile abilitare una di queste impostazioni, o entrambe, come indicato di seguito:
Per abilitare la firma SMB, vedere la procedura nell' articolo 887429 della Microsoft Knowledge Base.
Per abilitare la crittografia SMB per la cartella SMB condivisa, eseguire il seguente cmdlet di PowerShell nel server SMB:
Set-SmbShare <ShareName> -EncryptData $trueDove <ShareName> è il nome della cartella SMB condivisa.
Facoltativamente, per imporre l'uso della crittografia SMB nelle connessioni al server SMB, selezionare l'opzione Richiedi crittografia SMB per l'accesso alla cartella radice degli aggiornamenti rapidi nell'interfaccia utente CAU oppure configurare l'argomento plug-in RequireSMBEncryption='True' usando i cmdlet CAU di PowerShell.
Importante
Se si seleziona l'opzione per imporre l'uso della crittografia SMB e la cartella radice degli aggiornamenti rapidi non è configurata per connessioni che usano la crittografia SMB, l'operazione di aggiornamento non riuscirà.
Passaggio 5: Abilitare una regola di Windows Firewall nel server SMB
È necessario abilitare la regola Gestione remota file server (SMB-In) nel Windows Firewall sul file server SMB. Questa opzione è abilitata per impostazione predefinita in Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012.